Confira o passo a passo de como se adequar à Lei Geral de Proteção de Dados LGPD - Blog Athena Security: Tecnologia e segurança para o seu negócio
Confira o passo a passo de como se adequar à Lei Geral de Proteção de Dados LGPD

A Lei Geral de Proteção de Dados (LGPD) foi sancionada em 2018, pelo ex-presidente Michel Temer, e tem como objetivo disciplinar o tratamento dos dados pessoais dos brasileiros. É por conta disso que é importante se adequar a essa lei e incluí-la no plano de conformidade da organização.

Por se tratar de algo novo e sobre um tema para o qual, até então, não havia uma especificação clara, muitas empresas ainda não sabem o que precisam fazer para se adequar à Lei Geral de Proteção de Dados e como devem proceder nesse sentido.

Foi pensando nisso que desenvolvemos este post. Elaboramos um passo a passo para que você saiba como proceder para que sua empresa cumpra essa legislação e garanta a segurança dos seus clientes, colaboradores e fornecedores. Ficou interessado em obter essas informações? Então, siga conosco agora mesmo!

1- Identifique as fontes de coleta de dados

O primeiro passo para se adequar à Lei Geral de Proteção de Dados é identificar as fontes de coleta de dados. Deve-se fazer um mapeamento para que se possa identificar todas as informações dos públicos que são coletadas na organização.

As informações podem ser coletadas em cadastros feitos pelos clientes e fornecedores, em contatos telefônicos, em e-mails trocados etc. É necessário mapear todas essas fontes, para que nada seja negligenciado e nenhum dado seja obtido sem que se tenha conhecimento disso.

2- Classifique os dados

Para incluir a LGPD no plano de conformidade, também é necessário fazer uma classificação dos dados. Para essa lei, são considerados dados pessoais qualquer informação que possa identificar uma pessoa. Assim sendo, o nome, o telefone, o endereço, entre outros são incluídos nessa classificação.

Existe também os dados considerados sensíveis, que exigem ainda mais cuidado em seu tratamento e sigilo, como:

•   origem racial ou étnica;

•    convicção religiosa;

•    opinião política;

•    filiação a sindicato ou a organização de caráter religioso, filosófico ou político;

•    dado referente à saúde ou à vida sexual;

•    dado genético ou biométrico, quando vinculado a uma pessoa natural.

Por fim, existe o dado anonimizado, relativo ao titular que não possa ser identificado. Essa é uma alternativa para dispensar a necessidade do consentimento, uma vez que os dados que não identificam de forma direta ou indireta o seu titular (ou seja, anonimizados), não podem causar-lhe danos e, portanto, não requerem a proteção da lei.

3- Verifique os papéis e as responsabilidades

A relação entre compliance e LGPD também precisa ter clareza sobre os papéis e responsabilidades que devem ser cumpridos. A empresa tem o dever de solicitar o consentimento dos seus públicos sempre que forem registrados os seus dados, seja por meios digitais, seja por meios tradicionais.

Também é uma responsabilidade da organização garantir o sigilo e a proteção dos dados. De tal modo, é proibido que a empresa venda, divulgue ou repasse as informações de qualquer pessoa para terceiros, sem a devida autorização.

Para dividir essas responsabilidades de forma clara, está previsto na lei a definição dos agentes de tratamento, que são:

•    Controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

•    Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

•    Encarregado – pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional (também conhecido como Data Protection Officer – DPO);

Esses cargos devem ser ocupados por pessoas que realmente tenham tal competência, onde representaram a organização no caso de um incidente, podendo inclusive, também ser responsabilizados ou punidos.

4- Realize o Data Discovery e a identificação do ciclo de vida dos dados

O Data Discovery é um processo de levantamento geral de quais informações são coletadas e onde exatamente elas estão armazenadas, consolidando a visualização e identificação desses dados, para que as empresas possam classificá-las, detectando padrões e possíveis anormalidades nas informações.

Em seguida, será necessário mapear o ciclo de vida dos dados, ou seja, saber quando os dados têm início em sua coleta, qual a trajetória deles dentro da sua empresa e seu fim quando não serão mais utilizados. As informações que concluírem seu ciclo de vida e, de acordo com o consentimento e necessidade, devem ser descartadas.

5- Tenha controle de acesso

Ter o controle de acesso em relação aos dados de seus contatos é uma boa política de compliance e LGPD. Devem ser tomados cuidados para que apenas pessoas autorizadas tenham acesso a dados sigilosos.

Deve ser definido o limite de acesso e de manipulação dos dados de acordo com o seu nível de responsabilidade, finalidade e política de acesso da empresa.

Quando alguém disponibiliza os seus dados para uma empresa, ele está confiando nessa organização. Logo, eles não podem vazar sob nenhuma hipótese! É por isso que investir em segurança da informação, como nos softwares criptografados, é uma alternativa interessante.

6- Garanta o consentimento

Conforme explicamos, no plano de conformidade de LGPD, é preciso garantir o consentimento das pessoas sempre que um dado for coletado. Este consentimento deverá ser armazenado durante todo ciclo da informação, com opção de consulta e solicitação de revogação por parte do seu titular.

A solicitação do consentimento tem que ser transparente e específica, não gerando confusão para o titular ou induzindo ao erro. A opção de acesso a uma política de privacidade no momento do da coleta do consentimento, detalhando de forma mais completa como e onde será utilizada aquela informação pessoal, é a opção atual mais recomendada.

7- Faça a revisão de contratos

Para se adequar à Lei Geral de Proteção de Dados, também é recomendado que se faça a revisão de contratos que a empresa tem. Como antigamente não era necessário ter o consentimento das pessoas para que os dados fossem registrados, pode ser que você tenha documentos antigos com irregularidades.

Revisar os contratos, portanto, é uma boa prática para que esses documentos sejam atualizados, de acordo com as especificações da nova legislação.

8- Conheça as exceções ao consentimento

A LGPD também traz algumas exceções aos consentimentos, ou seja, algumas situações em que eles não se fazem necessários. Isso acontece quando as informações foram tornadas públicas pelo titular por livre e espontânea vontade, em alguns canais, como as redes sociais. São exemplos de exceções:

  • cumprimento de obrigação legal;
  • execução de contrato;
  • interesses legítimos do controlador ou de terceiro;
  • proteção do crédito;
  • proteção da vida;
  • tutela da saúde;
  • processo judicial, administrativo ou arbitral;
  • estudos ou pesquisas; e
  • políticas públicas.

Apesar disso, na relação entre compliance e LGPD, também se deve considerar a boa-fé, a finalidade e o interesse público da coleta e da disponibilização de dados das pessoas , mesmo que eles tenham os tornado públicos.

9- Elaboração do relatório de impacto

É importante que tudo seja documentado na empresa. Assim, evitamos correr riscos, como o uso inadequado dos dados por negligência. Os relatórios de impacto devem atender às questões específicas da LGPD.

A elaboração desse relatório precisará de uma mescla entre conhecimentos técnicos sobre a parte tecnológica e conhecimentos jurídicos para cumprir o formato desejado. Criando a necessidade da comunicação entre os departamentos ou pedir auxílio externo especializado para empresas terceirizadas.

Existem softwares que podem ajudar na emissão e no controle desses relatórios, para que todas as informações possam ser sempre acompanhadas e estar armazenadas de forma segura na empresa.

10 – Monitoramento, avaliação e revisão dos processos

O último passo para se adequar à Lei Geral de Proteção de Dados é fazer o criar os processos de monitoramento, avaliação e revisão dos processos. O objetivo é que o trabalho implementado siga sendo realizado de forma natural, sem que as adequações precisem ser sempre retomadas.

Para isso, é preciso que todo o trabalho realizado seja sempre monitorado e avaliado de forma constante para que esteja dentro das normas de compliance da empresa, e seja revisado quando necessário.

Em novos projetos é importante que o DPO, assim como a área de Risco, estejam envolvidos em todos os projetos de TI, principalmente aqueles que tratem de inovações, visando garantir a conformidade com a lei, e a implementação dos controles adequados.

Uma boa maneira de garantir que tudo isso seja realizado e fazer com que a LGPD esteja no plano de conformidade da organização é contar com um serviço especialização na implementação dessa legislação.

Entendeu como se adequar à Lei Geral de Proteção de Dados? A Athena Security, empresa especializada em segurança da informação, pode ajudar nesse sentido. Para saber mais, entre em contato conosco! Teremos satisfação em contribuir para que a sua empresa saiba como lidar com os dados dos seus clientes, funcionários, fornecedores etc.

 

Thiago Cabral

Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.

Powered by Rock Convert

COMENTÁRIOS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Share This